勒索軟件支付立法：什麼有意義，什麼沒有？

近年來，勒索軟件攻擊已成為網絡犯罪中最賺錢的一個分支。迄今為止，最大、最危險和最成功的威脅行為者和勒索軟件種類在 2021 年已經產生了數千萬美元的收入，而且他們的活動沒有放緩的跡象。

面對這種動蕩的勒索軟件氣候，人們提出了一些想法，即可能禁止所有勒索軟件付款的立法框架。當然，從表面上看，這種禁令背後的原因是，通過這種方式，大量資金將停止流入黑客和威脅行為者的金庫。從理論上講，支付贖金本質上是資助網絡犯罪分子。

當然，問題從來沒有那麼簡單，事情從來都不是非黑即白的。正如最近在美國發生的幾起備受矚目的勒索軟件攻擊所表明的那樣，在某些情況下，關鍵基礎設施被破壞，整個國家都遭受重創。

Colonial Pipeline 支付了超過 400 萬美元的贖金以獲得解密工具，是整個東海岸液體燃料的主要供應商。 DarkSide 組織在 Colonial 上發起的勒索軟件工作基本上具有破壞性，以至於受影響的州不得不開始使用油輪運輸車將燃料運送到邊遠地區。

當然，禁止勒索軟件付款也不會完全阻止攻擊。此外，如果為重要基礎設施提供服務的主要網絡受到攻擊，格式化和重新安裝需要很長時間，類似的支付禁令可能會使整個州屈服並使其進入緊急狀態。

英國一家大型保險公司的國際網絡承保人 Graeme Newman 也處理網絡保險，他指出了一個中間解決方案。如果立法者想要阻止黑客從任何一家大公司那裡獲取數百萬美元，同時還想要為關鍵基礎設施提供商提供一個安全網，那麼就需要一個專門的機構或機構系統。這些實體將逐案審查每一次攻擊，並最終決定付款是否真的有必要，以及拒絕付款是否會影響重要的基礎設施。

目前，公司受到勒索軟件攻擊以實現付款的方式沒有法律障礙，無論是通過保險公司還是直接進行。這種情況在可預見的未來有多大可能改變還有待觀察。